IT治理规划分析报告

IT治理、风险和合规管理（ITGRC）•以IT 支持内控要作的工作••••••对IT 要GRC•（IT ）表示包括IT◆风险遵守法律法规需要GRC ◆两类管理系统驱动系统制衡系统ERP GRC ◆包括ITGRC 的ERP+GRC 是完整的企业管理平台◆议题◆COSO模型和ITGRC架构框架◆◆（行业需求）（支持标准）COBIT 内控5 要素◆◆◆◆◆内控实施◆◆◆内控3 目标◆◆◆行业（IT ）GRC 需求（Compliance ）◆企业内部控制基本规范◆商业银行信息科技风险管理指引◆商业银行内部控制指引◆商业银行合规风险管理指引◆SOX ◆PCI◆BASEL II ◆。

（IT ）GRC 标准& 最佳实践（Methodology ）◆ISO38500◆COBIT ◆ISO20000◆ITIL◆COSO◆ISO31000◆ISO31020◆ISO27001/2◆ISO10006◆PRINCE2◆BS25999（IT ）GRC 实施的技术支持（Implementation ）◆邮件管理◆记录管理◆BPM ◆IT 安全管理◆PPM◆ITSM◆基于Windows 的19种技术支持◆KM ◆BI◆议题◆◆ITGRC标准/最佳实践及其实施◆ISO/IEC 38500:2008提供了一个IT治理的框架履行其组织IT使用的既定职责，实现IT治理的有效性、可用性及效率主要内容指导准则治理机制–DEM模型DEM模型IT治理IT治理原则IT治理内容明确决策权的归属和责任担当框架治理是决定由谁来进行决策管理是制定和执行这些决策商业价值人力、财务、实物、知识产权、IT、关系IT原则、IT架构、IT基础设施、IT商业应用、IT投资◆◆◆◆◆Array◆◆COBIT的魔方块◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆COSO 要素实体层面活动层面COBIT IT 流程控制环境风险评估控制活动信息和交流监测●●●●define IT strategic planning确定IT战略规划define the information architecture确定信息架构define technological direction确定技术指南●●●●define the IT processes, organization and relationships确定IT流程，组织和关系manage the IT investmentIT投资管理●●●communicate management aims and direction沟通管理的目标和方向●●●manage IT human resourcesIT人力资源管理●●●●●manage quality质量管理●●assess and manage IT risks评估和管理IT风险manage projects项目管理活动CEO CFO HLOB CIO CLOB COO SA DM CIOO PMC AMC 确定风险管理评估风险性A A/R C C A/R I I I理解相关业务的战略目标C C A/R C C I I识别内部IT目标建立风险背景C C A/R I识别与目标相关的事件I A/C A R R R R I C评估与事件有关的风险A/C A R R R R I C评价风险影响的措施I I A A R R R R I C A排定控制活动的优先级与规划C C A A R R C C C I C批准并保障风险措施计划的资金A R C I保持并监视风险措施计划I C I R R C C C C R R HLOB –业务单元负责人、CLOB ‐业务单元相关者、SA –系统分析师、DM –部门经理、CIOO –CIO办公室、PMC –项目管理中心、AMC –审计管理中心R –负责、A‐监控、C‐辅助、I –通告Relationship Amongst Process, Goals and Metrics (DS5)性能指标改进和再定位测量成果制定目标评审受监视安全文件的频率懂得安全需求脆弱性和威胁由未授权访问引起的实际事故次数构成安全影响不好的IT 事故次数探测和解决未授权的信息，应用和基础设施的访问确保IT 服务能抗拒攻击并从攻击中恢复维护企业信誉和领先地位对商务有影响的实际IT 事故次数结果测量流程测量性能指标被…测量商务目标IT 目标流程目标活动目标结果测量商务测量性能指标结果测量IT 测量性能指标被…测量被…测量被…测量根据控制目标制定测量指标授权与承诺(4.2)风险管理框架设计(4.3)风险管理实施(4.4)风险管理框架的监控与审查(4.5)框架持续改进(4.6)a ）创造价值b ）企业流程的组成部分c ）风险管理是制定决策的一部分d ）风险管理显明涉及不确定性e ）风险管理是系统性结构化和实时f ）风险管理基于最可用的信息g ）风险管理应适宜h ）风险管理应考虑人文因素i ）风险管理透明而包罗一切j ）风险管理动态地、持续地、灵敏地应对变化k ）风险管理促进组织持续改进风险管理原则风险管理框架风险管理框流程设立环境风险评估风险识别风险分析风险分析风险处理沟通与咨询监视与评审◆风险治理◆风险应对◆风险评估优点把IT 风险放在企业风险的高度进行管理控制的粒度还较粗是否有效地控制风险第三方独立审计审计报告IT 控制层COSO 控制ITR◆信息流◆控制流◆◆◆◆◆◆◆◆◆◆◆◆◆不合规的结果•丧失信誉，客户和业务合作伙伴的信任•失去市场份额•巨额罚款（包括个人和组织）•个人法律责任，甚至监禁的极端罪行•诉讼股东及其他人士•限制进入资本市场和上市股票市场失•信用评级下降•无能力做具体的司法管辖区的业务Administrative Controls •减少欺诈风险•保护组织和客户资产•防止泄露组织和客户的秘密•遵守法规•改善经营意识•提高效率•提高准确性General Controls•IT组织•政策创造和传播•系统安全•运营•变更管理•事故处理•监测•服务，系统和应用性能Application Controls •数据准备程序•准确性，完整性，及授权检查•数据处理的完整性•输出分布•保护敏感信息的传输Microsoft Operations Framework Authority Document CoverageMOF Phase MOFService Management Function SOXGLBAHIPAAEUDPDPCIDSSISO272COBITGAPPManage GRC X X X X X XManage Change & Configuration Management X XManage Team X X X X X X X XPlan Business / IT Alignment X X XPlan Reliability X X X X X X X Plan Policy X X X X X X X X Plan Financial Management X X X X X X X X Deliver Envision X X X X X X X XDeliver Project Planning XDeliver Build X XDeliver Stabilize X X X X X X X XDeliver Deploy X X X X X X X XOperate Operations X X X X X X XOperate Service Monitoring X X X X X X X XOperate Customer Service X X X X X X XOperate Problem Management X X X XITC◆议题◆◆◆云+移动计算的ITGRC美国政府CIO委员会发布由CIO Vivek Kundra签署的关于政府机构采用云计算的政府文件要不要采用云计算不是一个基于技术的决定，而是基于风险的决定。

CIO知识（2）：IT治理信息化是企业管理的重要组成部分，为充分发挥IT系统的价值，企业必须确保IT战略和企业战略的匹配、IT系统运行的效率、IT投资的效益以及控制IT运行风险。

在这方面，企业需要引进IT治理的观念，建立和完善IT决策体系、决策流程，从而优化IT治理架构，规范信息化规划、选型、实施和维护流程，完善IT服务体系，从组织、制度和流程上确保信息化建设的成功，规避投资和运行风险。

根据国际信息系统审计与控制协会(ISACA)的定义，IT治理是一个由关系和流程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。

IT管理有广义和狭义之分，广义的IT治理还包括IT价值管理、IT服务管理、IT风险管理等内容。

需要指出的是，IT治理与IT管理是两个不同的概念。

IT治理是企业从董事会等最高决策层面解决IT战略决策的结构、流程等问题，确保IT建设的正确方向，属于IT效益最大化即“做什么”的范畴。

IT管理是企业信息系统的运营，确保IT目标实现和IT运营效率，属于IT效率最大化即“如何做”的范畴。

两者相辅相成。

为实现有效的IT治理，企业需要参考国际通行的IT治理最佳实践和标准，从而建立和完善自身的IT治理体系。

目前国际IT治理的主要体系是COBIT和ITIL。

1、COBIT(Control Objectives for Information and related Technology信息和相关技术的控制目标)COBIT是目前国际上通用的信息系统审计的标准，由信息系统审计与控制协会在1996年公布，目前最新的版本是4.1。

COBIT这个框架包括四个过程域，即规划和组织（PO-Planning and Organization）、获取和实施（AI-Acquisition and Implementation）、交付和支持（DS-Delivery and Support）以及监控和评价（ME-Monitor and Evaluate)。

it架构管理汇报IT架构管理是指在组织内部对信息技术基础设施进行规划、设计、实施和维护的过程，旨在确保组织信息系统的高效运行和快速发展。

本次汇报将围绕IT架构管理的定义、意义、目标、过程和方法进行介绍和分析，并结合实际案例探讨其应用。

一、定义IT架构管理是指在组织内部对信息技术基础设施进行全面规划、设计、实施和维护的过程，以确保其与组织业务目标的一致性和持续性。

二、意义IT架构管理的意义主要体现在以下几个方面：1. 促进组织运营效率：通过对信息技术基础设施的规划和设计，优化和整合各个系统和应用，提高组织运营效率。

2. 支持业务发展：IT架构管理能够结合组织的业务发展需求，为组织提供可持续的技术支持，支持业务的快速发展和创新。

3. 提升信息安全性：IT架构管理通过对信息技术基础设施的安全规划和设计，提升组织的信息安全性，保护组织重要数据和业务的安全。

4. 降低系统维护成本：通过对信息系统的规划和设计，减少冗余和重复的系统和应用，降低系统维护成本。

5. 拓展业务边界：IT架构管理能够整合和开放多个系统和应用，拓展组织的业务边界，提供更广泛的服务和合作机会。

三、目标IT架构管理的目标主要包括以下几个方面：1. 实现信息系统和业务的一致性：通过对信息系统和业务的分析和评估，确保信息系统的设计和实现与组织的业务目标和需求保持一致。

2. 提高IT基础设施的灵活性和可扩展性：通过对IT基础设施的规划和设计，提高其灵活性和可扩展性，以满足组织快速变化的业务需求。

3. 降低IT系统和应用开发维护成本：通过对IT系统和应用的规划和设计，减少冗余和重复的系统和应用，降低系统和应用的开发和维护成本。

4. 提高信息安全性和稳定性：通过对信息系统的安全规划和设计，提高信息系统的安全性和稳定性，保护组织重要数据和业务的安全。

5. 支持业务创新和发展：通过对IT架构的规划和设计，为组织提供可持续的技术支持，支持业务的创新和发展。

某集团IT治理规划西子联合信息化规划报告第七卷：IT治理规划报告文档神州数码项目组审核：提交日期：2009-09-27当前版本：V3.0拷贝份数：1神州数码治理系统公司此报告仅供西子联合内部规定范畴内使用。

未经神州数码书面许可，任何机构不得擅自传阅、引用或复制文档操纵(a)文档更新记录(b)文档审核记录(c)文档去向记录摘要说明本次信息化咨询规划项目报告共八卷，包括：第一卷:《企业战略梳理报告》第二卷:《集团管控、业务诊断与IT需求报告》第三卷:《IT现状诊断报告》第四卷:《IT战略和蓝图设计规划报告》第五卷:《应用系统规划报告》第六卷:《IT基础设施规划报告》第七卷:《IT治理规划报告》第八卷:《IT建设打算与投资估算报告》本文是[西子联合控股集团信息化规划咨询]项目的《IT治理规划报告》交付物，是总八卷的第七卷。

本成果由西子联合控股集团和神州数码顾问组成的信息化规划咨询项目组共同完成。

本建议方案报告的基础：依照西子联合控股集团中高层调研、企业资料收集，结合行业进展趋势和行业实践明白得综合设计而成。

本报告的要紧目标：规划信息化建设、实施和爱护的IT组织建设、IT治理保证。

本报告要紧内容：1.集团IT治理评估分析：描述了IT现有组织架构评估和整体信息化组织。

2.集团信息化组织设计以及IT大纲：阐述了集团IT组织治理形式和集团IT治理大纲。

3.集团信息中心架构、功能和绩效设计：设计了信息中心组织架构方案、信息中心组织架构功能、职责和信息中心考核及指标。

4.集团信息中心IT运营治理：明晰了 IT需求治理、IT项目治理体系、IT服务治理、外包治理。

目录文档操纵 (1)(a)文档更新记录 (1)(b)文档审核记录 (1)(c)文档去向记录 (1)摘要说明 (2)第1章IT治理规划 (4)1.1西子联合IT治理评估分析 (4)1.1.1IT组织架构现状评估 (4)1.1.2业务需求及IT项目治理 (4)1.1.3IT服务治理评估 (5)1.2西子联合信息化组织设计以及IT大纲 (5)1.2.1西子联合IT组织治理形式 (6)1.2.2西子联合IT组织形式 (7)1.2.3西子联合IT治理大纲 (8)1.3西子联合信息中心架构、功能和绩效设计 (15)1.3.1集团信息化组织建议 (15)1.3.2集团总部信息中心组织架构方案 (15)1.3.3集团总部信息中心组织架构功能、职责 (17)1.3.3.1IT规划 (17)1.3.3.2应用治理 (18)1.3.3.3运维治理 (18)1.3.4子集团信息部组织架构方案 (19)1.3.5信息中心考核及指标 (20)1.3.5.1部门考核指标 (20)1.3.5.2运维治理 (21)1.3.5.3应用治理 (22)1.3.5.4软件研发 (23)1.3.5.5集团职能部门/子公司业务部门考核指标 (24)1.3.6IT需求治理 (25)1.3.7IT项目治理体系 (28)1.3.7.1项目立项治理 (28)1.3.7.2项目实施监控 (29)1.3.7.3结项转产治理 (29)1.3.8IT服务治理 (30)1.3.8.1IT运维的现状与问题分析 (30)1.3.8.2IT服务治理机制 (30)1.3.9外包治理 (34)1.3.9.1外包机会分析 (34)1.3.9.2服务外包策略 (35)第1章 IT 治理规划1.1西子联合IT 治理评估分析1.1.1IT 组织架构现状评估I T 组织架构现状评估：整体架构差不多形成，制度和流程正在完善▪集团总部IT 人员2名，下属子公司IT 人员2－3名▪无论是集团总部还是下属分子公司IT 人员数量比较少，往往1人身兼数职，内部岗位设置需要进一步清晰和细化，以有利于人力资源管理和考核▪信息中心的组织架构和内部管理建设需要进一步清晰和细化，可以考虑建设信息化管理（侧重规划和管理）、应用开发（侧重软件开发、维护）、系统网络（侧重网络和硬件的维护管理）、服务支持（侧重标准软件安装、维护及用户应用和技术问题处理）▪目前集团层面还没有成立信息化建设委员会；▪信息化建设实施的计划性有待加强▪需要成立集团IT 决策机构，明确核心决策的制度和流程▪需设立业务顾问组/业务关键用户组：为企业信息化建设和规划提供专业业务和需求指导；▪需要设立企业信息化推进组：保障应用的实施和推广；1.1.2 业务需求及IT 项目治理业务需求及IT 项目治理：还未建立统一的需求受理机制，需要进一步完善和加强IT 项目治理的制度、流程和方法▪需要进一步建立统一的需求受理机制▪需要进一步完善和加强IT项目管理的制度、方法和流程▪需要建立科学的业务IT需求的管理流程和沟通方法，通过制度和流程规范内部需求的申请、提交和变更管理；▪建立内部项目预算体系，对信息化项目进行统一规划、申报、评审、立项制度；▪建立内部项目的实施管理制度，实施项目启动、实施、控制、变更、收尾、评估总结机制1.1.3IT服务治理评估IT服务治理评估：差不多成型的服务流程、规章制度和采购标准，需要进一步清晰和细化▪运维工作的相关制度和流程需要进一步明晰和细化；▪加强IT运维的体系化和制度化建设，建设IT服务台管理、事件管理、问题管理、服务级别管理等IT运维服务制度和方法；▪建立科学的外包管理体系，根据实际需要推进服务外包，提高专业程度，节省资源…；▪对信息化服务的质量控制、绩效量化、考核等需要提高▪信息中心内部对岗位职责进行梳理，以服务质量为导向，确定考核指标，量化…；▪加强IT运行质量指标、核心业务指标、辅助指标的建设和完善工作；1.2 西子联合信息化组织设计以及IT大纲针对西子联合信息化组织的现状，下面专门设计西子联合信息化组织的架构和大纲。

HP IT战略规划解决方案摘要伴随中国经济的持续高速增长,中国有越来越多的企业业务在增长、规模在扩大、管理在变得越来越复杂,与此同时,客户的要求越来越高,竞争对手此起彼伏,同时企业还需要面对资本市场对于成本和风险控制的更严格的要求……面对激烈的竞争,企业必须不断提升自身的管理水平,建立可持续发展的竞争优势.然而,业务模式的灵活性成为中国企业持续发展的常见瓶颈.在中国,阻碍业务模式灵活应对市场变化的一个主要原因是IT建设滞后.由于中国企业IT发展的历史原因,IT系统长期以来处于一种被动的应对状态,而公司的管理却在不断变化,这种IT滞后于管理的矛盾日益突出.正如中国人寿的选择,我们认为只有坚定地推进面向未来的IT战略规划及实施工作才能解决问题、提升企业竞争力.IT战略规划解决方案,以HP独特的动成长企业战略AE、业务/IT规划方法论及服务流程规范BITA,EITA,ITSM为指导,帮助企业建立以客户为中心的企业信息架构,加速企业的资源优化整合,提供可预期的IT建设路线图、IT投资和业务回报,实现IT的有序建设,提高企业IT建设应对业务变化和抗风险的能力,改善客户服务质量,全面提高企业的业务灵活性,增强企业的核心竞争力.正如中国人寿的思考和选择,什么样的IT战略规划是中国企业需要的当时,中国人寿力图在长远计划和具体实施之间寻找精确的平衡,因此他们在评估IT规划的时候,把三个标准摆上桌面：第一,有没有高瞻远瞩的指导思想－这是判断规划能否适应未来的重要因素；第二,能否通过国际、国内的最佳实践,结合中国人寿的实际,提出一个可供参考的模型；第三,是否具备一个真正可实施的详细方案.经过中国人寿专家组严谨而细致的遴选,HP咨询脱颖而出,成为中国人寿推进其IT战略的最佳合作伙伴.HP的IT战略规划有其独到之处.HP在为中国企业确定未来IT战略、架构、实施路线方面有着包括方案、实施经验、队伍等方面的全面优势.其中最为关键的因素在于HP大力倡导的"动成长计划"与中国企业今天追求IT与业务最佳同步的需求相契合. "动成长计划"面向企业的未来发展,着眼于不断变化的外部环境与内部不确定因素的影响,能够帮助中国企业建立适应未来业务需求的IT架构,从长远保障企业投资回报的最大化.在全球范围内,HP在帮助金融、电信、制造、政府、运输等企业规划、实施IT战略方面拥有着其他竞争对手不可及的优势 - 丰富的行业经验和世界上最着名的IT基础设施供应商的服务经验的融合,能充分保障业务战略到IT战略到IT计划的落地实现.背景现代企业面临的挑战WTO和全球化给中国各行各业的企业带来越来越大的竞争压力.与此同时,客户要求更适用的产品和服务.企业本身的运作以及很多相关的信息的获得、处理和运用越来越依赖信息技术的应用.发展趋势企业要不断提供越来越有针对性的个性化的产品与服务；客户希望得到越来越多的以客户为中心的产品和服务体验；信息技术的运用正成为企业为建立竞争优势所必须采取的手段.客户面临的挑战IT如何与业务结合以适应市场的快速变化；如何建立可靠的IT基础设施以保障业务的安全运行；如何集成内部各应用系统,如何增强与合作伙伴,上下游的紧密关系；如何降低IT的运维成本和降低IT业务的复杂性以集中精力于核心业务；如何利用新的技术快速的获得竞争优势客户的需求IT建设发展到一定阶段,系统越来越复杂,企业客户需要解决IT建设中的一些具有总体性和战略性的问题：IT建设如何更好地满足业务发展的需要,如何做到统一规划,如何充分利用现有资源为未来的业务发展服务,如何做到有序建设解决方案―IT 战略规划IT战略规划的目的主要是为了定义和描述一个企业或组织目标IT系统的体系架构和为建立这种架构的实施过程,以及从全局、中远期的视角对后续的建设工程实施进行论证、定义、描述.HP IT战略规划解决方案,以HP独特的动成长企业战略、业务/IT规划方法论为指导,帮助企业建立以客户为中心的企业信息架构,加速企业的资源优化整合,提供可预期的IT建设路线图、IT投资和业务回报,实现IT 的有序建设,提高企业IT建设应对业务变化和抗风险的能力,改善客户服务质量,保障企业IT投资回报的可预见和最大化.方案构成惠普动成长企业解决方案路线图动成长企业是HP的愿景,它赋予了IT基础设施前所未有的适应性和灵活性,能实现IT与业务的真正同步.面对动成长企业的各个层面,HP提供了用户所需要的各项专业服务.其中,IT战略规划是动成长企业全方位构建的第一步,它帮助企业CIO们构建敏捷的IT基础,使他们能够快速配置、管理与发展应用软件和IT基础设施技术.HP动成长企业架构采用简易、标准、模块化以及集成化的设计原则,帮助企业360度全方位观察他们的应用架构,并能够以优化灵活性的方式,确保从数据移植到供应链整合的每一件事情都能够协同进行.本解决方案构成模块& 特性此解决方案各阶段的交付HP IT战略规划包括三阶段：第一阶段：评估分析-完成IT与业务整合评估及当前IT架构评估. HP 以动成长企业达尔文参考模型为基准,就企业的现状为其进行灵活性评估AAS, 同时应用业务流程管理BPM和IT服务管理ITSM框架评估企业的整体IT运营与管理状况,借助HP的IT成熟度模型评估企业的IT整合度. 第二阶段：规划设计－完成IT战略设计及未来IT架构包括应用架构、数据架构、基础架构的建设、未来IT治理模式设计. HP利用动成长企业模型,帮助企业建立IT战略,包括： IT远景－确立IT在企业中的作用企业架构－实现应用架构、数据架构和基础架构的设计标准化 IT控制模型－建立管理与控制框架整体战略是基于业务与IT整合及企业架构建立的,它应用了四个核心设计原则：简易化、标准化、模块化和集成化,最终实现"动成长"的目标. 第三阶段：实施计划－完成实施项目定义、时间表以及实施效果预估.客户收益最终, 企业采纳HP IT战略规划能从如下四方面获得受益:风险最小化 HP IT战略规划通过简化和优化企业的技术环境,建设灵活的、具有适应性的技术设施,从而能够保障更成功地实施企业所需的解决方案,支持业务变化,提高响应能力和降低风险.投资回报最大化 HP IT战略规划以建设灵活的基础设施为目标,优化IT 资源,降低基础设施管理成本,并提供更多的选择余地来降低拥有成本；改善性能通过HP的IT战略规划帮助企业建立具有适应性的基础设施,首席信息官能够信心十足地制定和满足日益增长的服务等级协议要求,以确保提供更好的可用性、响应速度和性能.增加灵活性 HP IT战略规划帮助企业构建灵活的基础设施,企业将能够及时把握各种机遇并快速应对各种挑战,同时快速适应不断变化的业务模式、流程和市场需求,从容应变,从而在激烈的市场竞争中脱颖而出.HP优势人员HP拥有世界一流的行业和IT咨询专家,尤其在支撑业务目标的IT 战略规划方面具有通常咨询公司不可及的落地实施能力；HP是首屈一指的公司,在中国所有各省均设有直接服务办事处,能以最高水平的IT服务为客户提供帮助；HP拥有独一无二的经验,它成功规划并实施了全球最庞大的IT基础设施,并从此前HP与Compaq合并所进行的IT战略规划和应用整合中获得了宝贵经验,此外还继承了DEC和Compaq以及Tandem与Compaq的IT规划和整合经验；方法HP的动成长企业Adaptive Enterprise战略面向企业的未来发展,着眼于不断变化的外部环境与内部不确定因素的影响,能够帮助企业建立适应未来业务需求的IT架构,从长远最大化保障企业投资；HP的动成长企业架构方法学简易化、标准化、模块化、集成堪称业界典范,它可以提供最高的灵活性AAS灵活性评估服务是独一无二的,它可以为实现业务与IT的同步提供帮助,并按照一次变革所用的时间、范围和难易度为IT划分优先级HP BITABusiness-IT Alignment ,以业务为导向的IT规划咨询实施方法论,能有效地把业务策略、业务流程很IT策略和IT的建设自始至终联系起来,充分互动,使IT能够更好地为企业业务策略和目标服务,帮助客户获得业务成功；HP EITAEnterprise IT Architecture方法论,定义IT规划的过程,把IT的各个方面进行全局的规划考虑,包括：信息、应用系统、技术、体系结构、安全、通信、人员组织和IT运营管理流程等.EITA能灵活地满足广泛客户的IT规划需求.HP IT服务管理ITSM模型是惠普公司基于CCTA英国国家电脑局开发的ITILIT Infrastructure Library IT基础架构标准库,结合惠普公司多年的IT管理经验,提出的一整套规划、建设、维护企业IT组织的标准方法,该方法将帮助IT部门建立一整套规范的流程管理、人员管理以及技术管理体系,为IT部门提供一个高效率的工作流管理的系统平台与灵活量化的服务管理平台.技术成立六十多年来,HP从未停止过创新和变革的步伐.HP每年40亿美元投入研发,平均每天获11项专利.全世界有超过十亿人正在使用HP的技术,其范围涵盖IT基础设施、信息产品及接入设备、成像、打印以及全球服务等诸多领域.HP为100家全球最大的证券交易所提供支持.HP在全球有7万服务与支持伙伴.成功案例与评价成功案例一: 中国人寿客户需求:在快速增长的中国寿险市场上,处于领导地位的中国人寿保险股份有限公司在优势当中看到了危机并认识到持续发展的必要性.中国人寿股份有限公司副总经理万峰总结了中国人寿当时面临的4项挑战：首先,在上市以后国际资本市场对中国人寿提出了更高的成本和风险控制要求；其次,股东要求更高的利润；还有,客户需要更好、更优质的服务；最重要的是,企业需要不断提高自身的管理水平,建立可持续的竞争优势.因此中国人寿提出：积极应对市场挑战,努力使中国人寿成为具有国际竞争力的、在中国保险市场领先的保险公司.面对激烈的竞争,业务模式的灵活性成为中国人寿持续发展的瓶颈.和其他快速增长的保险公司一样,阻碍业务模式灵活应对市场变化的一个主要原因是IT建设滞后.长期以来,IT系统处于一种被动的应对状态,而公司的管理却在不断变化,这种IT滞后于管理的矛盾日益突出.在明确IT建设滞后的问题后,中国人寿深深地意识到,只有坚定地推进面向未来的IT战略规划及实施工作才能解决问题、提升企业竞争力.HP解决方案:为中国人寿量身打造的IT整体战略规划, 具体包括三阶段内容：第一阶段：评估分析－完成IT与业务整合评估及当前IT架构评估. 第二阶段：规划设计－完成IT战略设计及未来IT架构包括应用架构、数据架构、基础架构的建设、未来IT治理模式设计. 第三阶段：实施计划－完成实施项目定义、时间表以及实施效果预估. 项目成效: HP与中国人寿IT整体战略规划的最终实施将建立这个绿色IT生态系统,能够更具主动性地为业务提供支持、更好地满足未来业务的需求,从而不断提高中国人寿的经营管理能力和可持续发展能力,提高对市场的快速反应能力和对客户的优质服务能力,提高对不确定性因素的适应能力和对风险的管控能力,最终提升中国人寿的核心竞争力,并且从更高角度上确保中国人寿发展成为一个综合性、多元化的国际保险金融集团.为何选择HP:HP之所以能够在激烈角逐中胜出,是因为HP在为中国人寿确定未来IT 战略、架构、实施路线方面有着包括方案、实施经验、队伍等方面的全面优势.其中最为关键的因素在于HP大力倡导的"动成长计划"与中国人寿的需求相契合,也正因为如此,二者的联姻称得上是水到渠成."动成长计划"面向企业的未来发展,着眼于不断变化的外部环境与内部不确定因素的影响,能够帮助中国人寿建立适应未来业务需求的IT架构,从长远看可节省企业投资,使企业边成长、边投资.此外,在全球范围内,HP在帮助金融企业规划、实施IT战略方面拥有着其他竞争对手无法比拟的经验,尤其在亚太区金融保险行业内,HP倍受推崇,这一点也深深吸引了中国人寿的眼光.客户评价"在目前的保险行业,变是永恒的,变是必然的,这样激烈的变化对于中国人寿这样老牌的大型企业,冲击可想而知,因此惠普公司帮助我们进行了IT战略规划,确立了核心竞争力,适应了未来的发展趋势." －中国人寿股份有限公司副总经理万峰"这次中国人寿与HP合作实施IT战略规划提出了一个理念,就是用HP 的动成长企业模型支持中国人寿适应性IT技术,共同建立一个绿色的IT 平台系统－中国人寿自己的绿色IT生态系统." －中国人寿信息技术部总经理刘安林市场评价2002年9月,HP获得由中国软件测评中心、中国计算机报社颁发的"制造行业系统集成专家"、"电信行业系统集成专家"、"金融行业系统集成专家"、"交通行业系统集成专家"四项大奖 2003年3月,HP获得由中国信息产业部颁发的"系统集成一级资质"证书.该证书的获得充分体现了HP对行业的深刻理解、出众的咨询服务及集成能力、过硬的团队合作精神 2004年中国优秀IT服务商 2004年中国最具价值的IT服务品牌中国制造行业服务用户满意品牌中国电信行业服务用户满意品牌中国金融行业服务用户满意品牌中国最具竞争力的IT服务品牌。

浅析企业IT治理概念及治理架构作者：马健来源：《科技视界》2015年第04期【摘要】信息化现代企业重要的推动力，信息系统也已逐步渗透到各行各业中，IT系统逐步从传统的业务支持转变为新业务开展的直接驱动力。

【关键词】IT治理；企业信息化；治理架构信息化现代企业重要的推动力，信息系统也已逐步渗透到各行各业中，IT系统逐步从传统的业务支持转变为新业务开展的直接驱动力。

但是在另一方面，由于IT系统逐渐成为各企业的重要资源，这就导致IT本身可能带来一定的威胁，随IT而来的风险、利益和机会使得IT 治理成为企业治理中很关键的一个方面，管理层需要确保IT与未来企业战略一致，而且企业战略也要很好地利用IT这个重要工具。

1 IT治理的概念及作用1.1 什么是IT治理美国麻省理工学院的学者彼得？维尔和珍妮？罗斯认为，IT治理就是为鼓励IT应用的期望行为，而明确的决策权归属和责任担当框架。

他们认为是行为而不是战略创造价值，任何战略的实施都要落实到具体的行为上。

1.2 IT治理的目标IT治理必须以企业战略为导向，以业务与IT整合为重心，为企业高层正确定位IT部门职责、整合信息资源，制定并推动组织发展的IT战略提供指导。

IT治理的具体目标有：（1）战略整合。

IT 治理要从组织的业务目标、治理目标和信息化战略中抽取信息需求和功能需求，形成总体的IT 治理框架，为进一步确定IT目标奠定基础，保证信息化投资跟上持续变化的业务目标和治理目标。

（2）有效利用信息资源。

通过IT 治理可以合理利用企业的信息资源，对信息资源的管理职责进行有效管理，确保IT项目及时按照目标交付，确保投资的效益，并对业务流程中资源进行有效利用，从而改善管理效率。

（3）风险管理。

通过制定信息资源保护级别，强调关键的信息技术资源，实施有效监控，减少风险发生几率和降低风险影响。

（4）绩效度量。

跟踪项目交付与监控IT服务，利用平衡记分卡将IT战略转换为实现可评价的目标和实际行动。

欢迎共阅IT治理：中国信息化的必由之道作者：孙强、郝亚斌?公司治理与信息技术治理如何工作控制，从而开始下一轮循环。

IT治理架构一个有效的IT治理架构需要理解组织的核心竞争力，并且在商业目标，治理原型，业务绩效目标之间维持平衡，进而提出IT治理框架，制定决策以及如何在关键的信息技术领域中确定。

由此，意识到IT治理与企业治理之间的必然联系，提供管理相关风险的最佳实务指导。

企业目标是保证企业健康、可持续发展，关注商业目标、知识管理、商业通讯、客户关系、商业活动与过程；IT治理目标是信息系统、技术和网络、知识管理、IT资产管理、电子商务、IT合法性等。

COBIT一个开放性标准，由美国IT和控制的标准。

该标准为IT????COBIT模型COBIT将IT过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。

其中，IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT审计方针对IT这个模型为企业管理的成功提供了集成的IT管理，通过保证有关企业处理过程的高效的改进措施，以更快更好更安全地响应企业需求。

管理指南定义了IT过程的成熟度模型，为管理者评估IT过程的状态提供了标准。

同时也给出了一些重要的测度，这包括：关键成功因素，关键目标指标，关键绩效指标。

COBIT模型是企业战略目标和信息技术战略目标的桥梁，使得信息技术目标和企业战略目标之间实现互动。

该框架的意义在于：COBIT实现了企业目标与IT治理目标之间的桥梁作用。

首先考虑了企业自身的战略规划，对业务环境和企业总的业务战略进行分析定位，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，并由此确定IT准则。

IT需求提供了技术与工具。

在入审计指南，从而保证IT效性。

企业IT战略规划与实施第一章：引言企业是一个系统性的组织结构，不断的面临着各种复杂的挑战。

在这样的情况下，很多企业开始思考如何通过信息技术的手段来提高竞争力和效率。

在这个过程中，企业IT战略规划和实施是非常重要的一步。

本文旨在深入探讨企业IT战略规划的重要性和实施过程中的问题，为企业提供可行的解决方案。

第二章：企业IT战略规划的意义企业IT战略规划是指企业通过对自身战略目标的分析和对市场和业务环境的预测，制定出符合企业长远需求的IT战略规划。

这是一个复杂而又长远的过程，但是它对企业的意义是非常重大的。

首先，IT战略规划可以帮助企业规范IT建设。

通过IT战略规划的制定，企业可以更好地适应业务发展要求，合理安排IT资源，规范IT系统的建设和管理，更好地促进企业内部流程的优化和协调。

其次，IT战略规划可以提高企业运营效率。

IT技术的应用可以帮助企业实现更高效的外围合作和流程管理，提高企业的运营效率。

而通过IT战略规划的提前设计和实施，可以使IT资源的应用和业务的整合更加合理化，真正地帮助企业实现高效运营。

最后，IT战略规划可以提高企业竞争力。

IT技术的快速发展，已经成为企业竞争力提升的必要途径。

而如果企业能够制定出符合自身需求的IT战略规划，将有利于企业发掘自身竞争优势和潜能，促进企业自我创新和提高竞争力。

因此，企业IT战略规划应当被视为企业管理中的重要组成部分，不可缺少。

第三章：企业IT战略规划的步骤企业IT战略规划是一个比较复杂的过程，一般分为以下几个步骤：第一步：明确企业战略目标和需求企业IT战略规划的基础是企业本身的战略目标和需求。

通过对企业目标和需求的明确，才能更加精准地制定出IT战略规划。

这一步需要广泛地收集相关信息，包括供需关系、客户需求、产品定位、人力资源等方面的数据，并对外部竞争环境以及市场变化进行综合分析。

第二步：评估现有IT系统和资源企业IT战略规划的下一步是评估现有IT系统和资源。